Risicobehandeling is het ISO 27001-proces voor het selecteren en implementeren van een of meer opties om een geïdentificeerd risico te wijzigen. De vier standaard behandelopties zijn mitigatie (het verkleinen van waarschijnlijkheid of impact door maatregelen), overdracht (het verschuiven van het risico naar een derde partij, bijvoorbeeld via verzekering), vermijding (het elimineren van de activiteit die het risico veroorzaakt) en acceptatie (het bewust behouden van het risico binnen de risicobereidheid).
Elke behandeloptie dient te worden geëvalueerd op haalbaarheid, kosteneffectiviteit en afstemming op de risicobereidheid van de organisatie alvorens deze te implementeren. De gekozen behandeling moet worden gedocumenteerd in het risicobehandelingsplan en de effectiviteit ervan dient in de tijd te worden gemonitord. Regelmatige herbeoordeling waarborgt dat behandelingen passend blijven naarmate het dreigingslandschap en de bedrijfscontext veranderen.